Principiile GDPR

📅Creat: 13 februarie 2026
✏️Actualizat: acum 1 lună

Principiile GDPR

Pe scurt

GDPR (General Data Protection Regulation) stabilește șapte principii fundamentale care guvernează prelucrarea datelor cu caracter personal, prevăzute la Articolul 5 din Regulamentul (UE) 2016/679. Aceste principii reprezintă temelia conformității pentru orice organizație care colectează sau prelucrează date personale și se aplică direct în România din 25 mai 2018.

Principiile prelucrării datelor cu caracter personal sunt reglementate prin:

  • Regulamentul (UE) 2016/679 (GDPR) — aplicabil direct în toate statele membre UE
  • Legea nr. 190/2018 — legea națională de punere în aplicare a GDPR în România
  • Carta drepturilor fundamentale a UE, Art. 8 — dreptul fundamental la protecția datelor personale

Art. 5 alin. (1) din Regulamentul (UE) 2016/679 — Datele cu caracter personal sunt: (a) prelucrate în mod legal, echitabil și transparent față de persoana vizată; (b) colectate în scopuri determinate, explicite și legitime; (c) adecvate, relevante și limitate la ceea ce este necesar; (d) exacte și actualizate; (e) păstrate pe o perioadă care nu depășește perioada necesară; (f) prelucrate într-un mod care asigură securitatea adecvată. Sursa: Regulamentul (UE) 2016/679, Art. 5

Art. 5 alin. (2) din Regulamentul (UE) 2016/679 — Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare („responsabilitate"). Sursa: Regulamentul (UE) 2016/679, Art. 5

Explicație detaliată

1. Legalitate, echitate și transparență

Acest principiu cuprinde trei componente interdependente:

Legalitatea impune existența unui temei juridic valid pentru orice prelucrare de date. Art. 6 din GDPR enumeră cele șase temeiuri legale posibile:

  • Consimțământul persoanei vizate
  • Executarea unui contract la care persoana vizată este parte
  • Obligația legală a operatorului
  • Interesul vital al persoanei vizate sau al altei persoane fizice
  • Interesul public sau exercitarea autorității publice
  • Interesul legitim al operatorului sau al unui terț

Echitatea presupune că datele sunt prelucrate doar în modurile pe care persoana vizată le-ar aștepta în mod rezonabil. Operatorul nu poate utiliza datele într-un mod care ar afecta negativ persoana vizată, dincolo de ceea ce a fost comunicat.

Transparența obligă operatorul să informeze clar persoanele vizate despre: cine este operatorul, ce date colectează, de ce le colectează, cum le folosește și cât timp le păstrează. Politica de confidențialitate trebuie să fie scrisă într-un limbaj simplu și clar, nu în jargon juridic.

2. Limitarea legată de scop

Datele cu caracter personal trebuie colectate în scopuri determinate, explicite și legitime și nu pot fi prelucrate ulterior într-un mod incompatibil cu scopurile inițiale.

Ce înseamnă asta în practică:

  • Scopul prelucrării trebuie definit înainte de colectarea datelor
  • Dacă apare un nou scop, trebuie evaluat dacă este compatibil cu cel inițial
  • Dacă noul scop nu este compatibil, este necesar un nou temei juridic (de exemplu, un nou consimțământ)

Excepție: Prelucrarea ulterioară în scopuri de arhivare în interes public, cercetare științifică sau istorică ori scopuri statistice nu este considerată incompatibilă cu scopurile inițiale (conform Art. 89 alin. 1 GDPR).

3. Reducerea la minimum a datelor (minimizarea)

Datele colectate trebuie să fie adecvate, relevante și limitate la ceea ce este strict necesar pentru scopul declarat.

Exemplu: O companie care angajează un programator nu are dreptul să solicite informații despre starea civilă a candidatului, deoarece această informație nu este relevantă pentru scopul angajării. Colectarea unor astfel de date suplimentare reprezintă o încălcare a principiului minimizării.

Acest principiu este deosebit de important în cazul datelor din categorii speciale (date sensibile), precum datele privind sănătatea, orientarea sexuală, convingerile politice sau religioase, unde restricțiile sunt și mai stricte.

4. Exactitatea

Datele cu caracter personal trebuie să fie exacte și, acolo unde este necesar, actualizate fără întârziere. Operatorul trebuie să ia toate măsurile rezonabile pentru a se asigura că datele inexacte sunt rectificate sau șterse.

Ce presupune în practică:

  • Implementarea unei proceduri de actualizare a datelor
  • Posibilitatea ca persoana vizată să solicite rectificarea datelor inexacte
  • Verificarea periodică a datelor, în special dacă sunt folosite pentru decizii care afectează persoanele vizate

Nu este necesar ca toate datele să reflecte situația curentă în orice moment — relevanța actualizării depinde de scopul prelucrării. De exemplu, un serviciu poștal trebuie să verifice constant adresele, în timp ce un registru istoric poate păstra date anterioare.

5. Limitarea legată de stocare

Datele nu pot fi păstrate mai mult decât este necesar pentru îndeplinirea scopurilor în care sunt prelucrate. GDPR nu stabilește o limită de timp fixă — aceasta depinde de scopul specific al prelucrării.

Ce trebuie să facă operatorul:

  • Să stabilească politici de retenție care definesc cât timp se păstrează fiecare categorie de date
  • șteargă sau anonimizeze datele odată ce scopul a fost atins
  • Să respecte termenele legale acolo unde legislația le impune (de exemplu, facturile se păstrează 10 ani conform legii contabilității, statele de salarii 50 de ani)

Excepție: Datele pot fi stocate mai mult dacă sunt prelucrate exclusiv în scopuri de arhivare în interes public, cercetare științifică/istorică sau statistice, cu aplicarea măsurilor tehnice adecvate.

6. Integritate și confidențialitate

Datele trebuie prelucrate astfel încât să fie asigurată securitatea adecvată, inclusiv protecția împotriva:

  • Prelucrării neautorizate sau ilegale
  • Pierderii, distrugerii sau deteriorării accidentale

Aceasta presupune implementarea de măsuri tehnice și organizatorice corespunzătoare, precum:

  • Criptarea datelor
  • Controlul accesului (autentificare, autorizare)
  • Backup-uri regulate
  • Proceduri de răspuns la incidente de securitate
  • Instruirea personalului

Art. 32 din GDPR detaliază cerințele de securitate, menționând că măsurile trebuie alese în funcție de riscul prelucrării și de starea actuală a tehnologiei.

7. Responsabilitatea (accountability)

Principiul responsabilității, prevăzut la Art. 5 alin. (2), este considerat fundamentul practic al GDPR. Nu este suficient să respecți principiile — trebuie să poți demonstra că le respecți.

Aceasta înseamnă:

  • Menținerea unor registre de evidență a activităților de prelucrare (obligatoriu pentru organizațiile cu peste 250 de angajați sau care prelucrează date sensibile)
  • Realizarea de evaluări de impact (DPIA) pentru prelucrări cu risc ridicat
  • Documentarea consimțămintelor obținute
  • Implementarea de politici interne de protecție a datelor
  • Numirea unui responsabil cu protecția datelor (DPO) acolo unde este obligatoriu

Art. 5 alin. (2) din Regulamentul (UE) 2016/679 — Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare. Sursa: Regulamentul (UE) 2016/679

Aspecte practice

Greșeli frecvente

  • Colectarea de date „pentru orice eventualitate" — încalcă principiul minimizării. Colectați doar ce vă trebuie efectiv.
  • Lipsa politicii de retenție — multe organizații colectează date fără a stabili când le vor șterge.
  • Consimțământ pre-bifat — căsuțele bifate în prealabil nu constituie un consimțământ valid.
  • Transparență insuficientă — politici de confidențialitate scrise în limbaj juridic inaccesibil.
  • Lipsa documentației — chiar dacă respectați regulile, fără dovezi nu puteți demonstra conformitatea.

Sfaturi concrete pentru operatori

  1. Auditați datele pe care le dețineți — știți ce date aveți, de unde vin și de ce le păstrați?
  2. Documentați temeiurile juridice pentru fiecare tip de prelucrare
  3. Stabiliți termene clare de ștergere pentru fiecare categorie de date
  4. Testați-vă transparența — ar înțelege o persoană obișnuită politica voastră de confidențialitate?
  5. Instruiți personalul — principiile GDPR trebuie înțelese de toți angajații care lucrează cu date personale

Sancțiuni

Nerespectarea principiilor din Art. 5 poate atrage sancțiuni de până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală (se aplică suma mai mare), conform Art. 83 alin. (5) din GDPR.

În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritatea responsabilă de aplicarea GDPR și poate efectua investigații, emite avertismente sau aplica amenzi.

Practică și opinii

⚠️ Opinie specialistă — Cabinet Stegaroiu și Asociații „Din toate principiile, principiul responsabilității este fundamental pentru GDPR. Acesta oferă siguranța că operatorii de date respectă regulile pe care regulamentul le impune. În practică, aceasta înseamnă că operatorii trebuie să poată da socoteală de modul în care se conformează și pun în aplicare dispozițiile GDPR." Sursa: Ce Înseamnă GDPR – Pe Înțelesul Tuturor, 14 iunie 2020

⚠️ Opinie specialistă — ANSPDCP Regulamentul (UE) 2016/679 introduce în art. 5 un nou principiu de prelucrare a datelor, cel al responsabilității, potrivit căruia operatorii de date sunt obligați să demonstreze conformitatea cu toate celelalte principii. Sursa: ANSPDCP — Întrebări și răspunsuri privind GDPR

Legislație europeană

Directive și regulamente aplicabile

Principiile GDPR nu au apărut într-un vid legislativ — ele reprezintă culminarea a peste două decenii de evoluție a dreptului european privind protecția datelor cu caracter personal.

Regulamentul (UE) 2016/679 (GDPR) — Regulamentul General privind Protecția Datelor, aplicabil direct în toate statele membre din 25 mai 2018, a înlocuit Directiva 95/46/CE și a unificat cadrul legislativ la nivel european. Art. 5 consacră cele șapte principii fundamentale ale prelucrării datelor. Sursa: Regulamentul (UE) 2016/679

Directiva 95/46/CE — Fosta directivă privind protecția datelor, abrogată de GDPR, a fost primul instrument legislativ european cuprinzător în domeniu. Principiile din Art. 5 GDPR își au originea directă în Art. 6 al acestei directive, dar au fost consolidate și extinse. Sursa: Directiva 95/46/CE

Directiva 2002/58/CE (Directiva ePrivacy) — Completează GDPR în domeniul comunicațiilor electronice, reglementând cookie-urile, comunicările nesolicitate și confidențialitatea comunicațiilor. Principiul consimțământului din GDPR se aplică împreună cu cerințele ePrivacy. Sursa: Directiva 2002/58/CE

Carta drepturilor fundamentale a UE, Art. 7 și 8 — Dreptul la respectarea vieții private (Art. 7) și dreptul la protecția datelor cu caracter personal (Art. 8) constituie fundamentul constituțional al principiilor GDPR. Art. 8 alin. (2) menționează explicit principiul consimțământului, al scopului legitim și al dreptului de acces și rectificare. Sursa: Carta drepturilor fundamentale a UE

Convenția nr. 108 a Consiliului Europei (modernizată prin Protocolul CETS 223) — Primul instrument juridic internațional obligatoriu în domeniul protecției datelor (1981), ale cărui principii au inspirat direct legislația UE. România a ratificat Convenția prin Legea nr. 682/2001. Sursa: Convenția 108+

Transpunerea în dreptul român

GDPR, fiind regulament european, se aplică direct în România, fără a necesita transpunere în legislația națională. Cu toate acestea, regulamentul lasă statelor membre o marjă de manevră în anumite domenii:

Legea nr. 190/2018 — legea națională de punere în aplicare a GDPR — reglementează aspectele unde GDPR permite flexibilitate:

  • Vârsta consimțământului minorilor: România a menținut pragul implicit GDPR de 16 ani (Art. 8 GDPR permite statelor membre să reducă limita până la 13 ani — România nu a utilizat această opțiune)
  • Prelucrarea CNP-ului: Art. 3 din Legea 190/2018 prevede măsuri speciale pentru prelucrarea codului numeric personal, considerat identificator de aplicabilitate generală
  • Prelucrarea datelor genetice, biometrice și de sănătate: Art. 8 stabilește garanții suplimentare pentru aceste categorii speciale
  • Derogări pentru jurnalism și exprimare artistică: Art. 7 prevede derogări în scopuri jurnalistice, academice, artistice sau literare
  • Sancțiuni pentru autorități publice: România a stabilit un plafon maxim pentru amenzile aplicate autorităților și organismelor publice

Comparație cu standardele UE minime:

România nu a practicat „gold-plating" semnificativ (suprareglemantare față de cerințele minime UE). Cadrul legislativ este aliniat fidel la GDPR, cu excepția faptului că:

  • Nu a redus vârsta consimțământului sub 16 ani (spre deosebire de state precum Marea Britanie — 13 ani, sau Franța — 15 ani)
  • A inclus prevederi specifice privind CNP-ul, reflectând particularitățile sistemului românesc de identificare

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) a fost desemnată ca autoritate de supraveghere în sensul Art. 51 GDPR, prin Legea nr. 102/2005 modificată.

Jurisprudență CJUE

Curtea de Justiție a Uniunii Europene (CJUE) a emis hotărâri fundamentale care clarifică interpretarea principiilor din Art. 5 GDPR:

Cauza C-131/12, Google Spain SL c. AEPD și Mario Costeja González (13 mai 2014) — Hotărârea care a consacrat „dreptul de a fi uitat". CJUE a stabilit că operatorul unui motor de căutare este obligat să elimine din rezultate linkurile către pagini web care conțin date personale inadecvate, irelevante sau excesive — o aplicare directă a principiilor limitării scopului, minimizării datelor și limitării stocării. Sursa: CJUE, C-131/12

Cauza C-673/17, Planet49 GmbH (1 octombrie 2019) — CJUE a clarificat că o casetă bifată în prealabil (pre-ticked checkbox) nu constituie un consimțământ valid în sensul GDPR. Hotărârea a consolidat principiul transparenței și cerința unui consimțământ activ, liber și informat. Sursa: CJUE, C-673/17

Cauza C-311/18, Data Protection Commissioner c. Facebook Ireland și Maximillian Schrems (Schrems II, 16 iulie 2020) — CJUE a invalidat Decizia de adecvare Privacy Shield UE-SUA, subliniind că transferurile de date trebuie să asigure un nivel de protecție în esență echivalent cu cel garantat în UE. Hotărârea consolidează principiul integrității și confidențialității datelor în context transfrontalier. Sursa: CJUE, C-311/18

Cauza C-40/17, Fashion ID GmbH & Co. KG (29 iulie 2019) — A stabilit că operatorul unui site web care încorporează un plugin social (de exemplu, butonul Facebook „Like") este operator comun (joint controller) împreună cu furnizorul pluginului, cel puțin pentru operațiunile de colectare și transmitere a datelor. Clarifică aplicarea principiului legalității și a responsabilității comune. Sursa: CJUE, C-40/17

Cauza C-807/21, Deutsche Wohnen SE (5 decembrie 2023) — CJUE a confirmat că persoanele juridice pot fi amendate direct pentru încălcări ale GDPR, fără a fi necesar să se stabilească o faptă culpabilă a unei persoane fizice identificate. Hotărârea întărește principiul responsabilității (accountability) din Art. 5 alin. (2). Sursa: CJUE, C-807/21

Cauza C-300/21, UI c. Österreichische Post AG (4 mai 2023) — CJUE a confirmat că încălcarea GDPR nu generează automat dreptul la despăgubiri; persoana vizată trebuie să demonstreze un prejudiciu efectiv. Totuși, pragul prejudiciului nu trebuie să atingă un anumit grad de gravitate — orice prejudiciu moral, oricât de mic, poate fi compensat. Sursa: CJUE, C-300/21

Aspecte practice din perspectivă europeană

Implicații transfrontaliere:

  • Principiile din Art. 5 se aplică uniform în toate cele 27 de state membre UE/SEE, ceea ce înseamnă că o organizație românească care prelucrează date ale unor cetățeni din alte state membre trebuie să respecte aceleași standarde
  • Mecanismul „one-stop-shop" (Art. 56 GDPR) permite unei organizații cu activități transfrontaliere să interacționeze cu o singură autoritate de supraveghere principală
  • Transferurile de date în afara UE/SEE necesită garanții adecvate (clauze contractuale standard, reguli corporatiste obligatorii sau decizii de adecvare), ca extensie a principiului integrității și confidențialității

Evoluții legislative viitoare:

  • Regulamentul ePrivacy (propunere COM(2017)10) — propunerea a fost retrasă în februarie 2025. Directiva 2002/58/CE rămâne în vigoare și nu se anticipează schimbări legislative iminente în acest domeniu
  • AI Act (Regulamentul (UE) 2024/1689) — reglementarea inteligenței artificiale impune cerințe suplimentare de transparență și protecție a datelor pentru sistemele AI care prelucrează date personale, extinzând în practică principiile din Art. 5 GDPR
  • Data Act (Regulamentul (UE) 2023/2854) — introduce reguli noi privind accesul și partajarea datelor, inclusiv date cu caracter personal, cu respectarea principiilor GDPR

Cooperare europeană: ANSPDCP participă activ în cadrul Comitetului European pentru Protecția Datelor (EDPB), care emite linii directoare și opinii care clarifică aplicarea uniformă a principiilor GDPR în întreaga Uniune. Ghidurile EDPB, deși nu sunt obligatorii din punct de vedere juridic, sunt considerate standarde de referință de autoritățile naționale.

Jurisprudență națională

Decizii relevante

Decizii favorabile (PRO)

Curtea de Apel Cluj, 20.11.2025 — Anulare act administrativ Instanța a respins apelul operatorului și a menținut amenda de 74.611,5 lei (echivalentul a 15.000 EUR) aplicată de ANSPDCP pentru încălcarea art. 12 din Legea nr. 190/2018. Operatorul nu a respectat obligațiile de informare prevăzute de art. 13 din RGPD prin intermediul site-ului său, iar instanța a confirmat că reglementarea din Legea nr. 677/2001 (abrogată) a fost înlocuită de prevederile mai stricte ale RGPD privind transparența și informarea persoanelor vizate. Sursa: https://www.rejust.ro/juris/2855866g2

Curtea de Apel Timișoara, 06.11.2025 — Anulare act administrativ Instanța a respins apelul operatorului și a confirmat amenda de 14.904,30 lei (echivalentul a 3.000 EUR) pentru încălcarea principiului integrității și confidențialității (art. 32 alin. 1 lit. a, b și d din RGPD). Operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor asociate prelucrării datelor. Sursa: https://www.rejust.ro/juris/58466e573

Curtea de Apel București, 10.03.2025 — Contencios administrativ Instanța a respins apelul și a confirmat sancțiunea de avertisment aplicată de ANSPDCP, însoțită de un plan de remediere. Sancțiunea a fost aplicată în temeiul art. 12-14 din Legea nr. 190/2018, coroborate cu art. 83 alin. (4) lit. a) din RGPD, pentru nerespectarea obligațiilor operatorului privind securitatea prelucrării. Sursa: https://www.rejust.ro/juris/de6676666

Decizii contrare sau limitative (CONTRA)

Curtea de Apel București, 23.10.2024 — Contencios administrativ Instanța a admis apelul și a anulat procesul-verbal de sancționare întocmit de ANSPDCP, constatând că faptele reținute fuseseră decontravenționalizate prin Legea nr. 129/2018. Această decizie subliniază importanța verificării cadrului legal aplicabil la momentul săvârșirii faptei și a modificărilor legislative ulterioare care pot afecta legalitatea sancțiunilor. Sursa: https://www.rejust.ro/juris/9d33ee848

Curtea de Apel Timișoara, 03.12.2024 — Obligația de a face Instanța a admis recursul și a casat hotărârea, reținând că ANSPDCP are obligația de a solicita clarificări suplimentare conform Deciziei nr. 133/2018 înainte de a respinge o plângere. Procedura de primire și soluționare a plângerilor impune verificarea completitudinii informațiilor furnizate de petent și solicitarea de lămuriri când acestea sunt insuficiente. Sursa: https://www.rejust.ro/juris/g85456773

Nuanțe și cazuri speciale

Curtea de Apel Galați, 06.11.2025 — Anulare act administrativ Instanța a reținut că simpla existență a unui proces civil între operator și persoana vizată nu poate determina ANSPDCP să refuze analiza situației de fapt. Autoritatea de supraveghere are obligația de a examina plângerile conform art. 57 din RGPD, independent de alte proceduri judiciare paralele. Sursa: https://www.rejust.ro/juris/584dg4434

Curtea de Apel Cluj, 21.11.2025 — Anulare act administrativ Instanța a clarificat raportul dintre obligația de informare din Legea nr. 677/2001 (abrogată) și art. 13 din RGPD, confirmând că principiul transparenței impune obligații extinse de informare a persoanei vizate, care nu existau în legislația anterioară. Operatorii trebuie să adapteze politicile de confidențialitate la cerințele mai detaliate ale RGPD. Sursa: https://www.rejust.ro/juris/9d3822d84

Tendințe jurisprudențiale

Jurisprudența românească în materia principiilor GDPR relevă următoarele tendințe:

  1. Instanțele confirmă în general sancțiunile ANSPDCP — majoritatea apelurilor formulate de operatorii sancționați sunt respinse, ceea ce demonstrează că autoritățile de supraveghere aplică corect cadrul legal.

  2. Principiul securității (art. 32) este frecvent invocat — amenzile pentru lipsa măsurilor tehnice și organizatorice adecvate sunt menținute constant de instanțe, cu sume între 3.000 și 15.000 EUR.

  3. Obligațiile de informare (art. 12-14) sunt strict verificate — transparența față de persoanele vizate este tratată ca o obligație esențială, iar nerespectarea ei atrage sancțiuni.

  4. Procedura ANSPDCP este supusă controlului judiciar — instanțele verifică dacă autoritatea a respectat propriile proceduri (Decizia nr. 133/2018) și pot anula actele emise cu încălcarea acestora.

  5. Decontravenționalizarea poate anula sancțiuni — modificările legislative (Legea nr. 129/2018) care elimină caracterul contravențional al unor fapte se aplică retroactiv în favoarea operatorilor.

Întrebări frecvente

Ce sunt datele cu caracter personal? Orice informație referitoare la o persoană fizică identificată sau identificabilă: nume, adresă, e-mail, CNP, adresă IP, date biometrice, date de localizare etc.

Când se aplică GDPR în România? GDPR se aplică direct din 25 mai 2018. Legea nr. 190/2018 completează regulamentul cu prevederi specifice pentru România.

Trebuie să am consimțământul pentru orice prelucrare? Nu. Consimțământul este doar unul din cele șase temeiuri juridice. Prelucrarea poate fi legală și pe baza unui contract, a unei obligații legale, a interesului public sau legitim.

Ce fac dacă am colectat prea multe date? Ștergeți datele care nu sunt necesare pentru scopul declarat. Documentați procesul și actualizați procedurile interne pentru a preveni situații similare.

Cât timp pot păstra datele personale? Doar cât este necesar pentru scopul prelucrării. Dacă legislația prevede un termen obligatoriu (ex: 10 ani pentru facturi), respectați acel termen. Pentru restul, stabiliți perioade rezonabile și documentați-le.

Ce risc dacă nu respect principiile GDPR? Amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri globală, ordine de remediere din partea ANSPDCP, daune-interese solicitate de persoanele vizate și pierderea reputației.

GDPR pentru PFA-uri și microîntreprinderi

Când este obligatoriu DPO?

Conform Art. 37 din GDPR, desemnarea unui responsabil cu protecția datelor (DPO) este obligatorie doar în trei situații specifice:

  1. Autorități sau organisme publice — indiferent de mărime (cu excepția instanțelor judecătorești)
  2. Monitorizare sistematică la scară largă — când activitățile principale presupun monitorizarea regulată și sistematică a persoanelor vizate
  3. Prelucrare la scară largă de date sensibile — date privind sănătatea, originea etnică, convingerile religioase, date biometrice sau genetice, date despre condamnări penale

Art. 37 alin. (1) din Regulamentul (UE) 2016/679 — Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori: (a) prelucrarea este efectuată de o autoritate sau un organism public; (b) activitățile principale constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; (c) activitățile principale constau în prelucrarea pe scară largă a unor categorii speciale de date. Sursa: Regulamentul (UE) 2016/679, Art. 37

Pentru majoritatea PFA-urilor și microîntreprinderilor, numirea unui DPO nu este obligatorie. Un cabinet de avocatură individual, un cabinet medical mic sau un magazin online cu câțiva angajați nu efectuează prelucrări „la scară largă" și nu realizează monitorizare sistematică.

⚠️ Atenție: Dacă un operator decide să numească voluntar un DPO, devine obligat să respecte toate cerințele GDPR privind statutul și atribuțiile acestuia (Art. 38-39). ANSPDCP recomandă ca, dacă nu sunteți siguri, să consultați un specialist înainte de a lua decizia. Sursa: ANSPDCP — Responsabilul cu protecția datelor

Registrul activităților de prelucrare

Art. 30 GDPR impune ținerea unui registru al activităților de prelucrare. Cu toate acestea, există o excepție pentru întreprinderile cu mai puțin de 250 de angajați — dar aceasta se aplică doar dacă:

  • Prelucrarea nu este susceptibilă să genereze un risc pentru drepturile persoanelor vizate
  • Prelucrarea este ocazională
  • Nu se prelucrează date sensibile sau date privind condamnări penale

În practică, majoritatea firmelor mici care prelucrează date de angajați (salarii, contracte de muncă, fișe medicale) sau date de clienți în mod regulat trebuie să țină registrul, chiar dacă au sub 250 de angajați.

Documente minime pentru o firmă mică

Pentru un SRL cu 5-10 angajați, conformarea GDPR presupune cel puțin:

  1. Registrul activităților de prelucrare — tabel cu categoriile de date, scopuri, temeiuri juridice, termene de păstrare
  2. Politica de confidențialitate — document public pentru clienți/utilizatori
  3. Acorduri de prelucrare a datelor — cu furnizorii care prelucrează date în numele firmei (contabilitate, IT, hosting)
  4. Procedură de răspuns la cereri — pentru exercitarea drepturilor persoanelor vizate
  5. Procedură de notificare a încălcărilor — ce faceți în caz de breach
  6. Consimțăminte documentate — formulare pentru colectarea acordului (unde e cazul)
  7. Informări pentru angajați — despre prelucrarea datelor HR

Costuri estimative: Variază semnificativ în funcție de complexitate. Pentru o firmă mică cu activitate simplă, costurile inițiale pot fi de 500-2.000 EUR pentru consultanță și documentație, plus eventual 100-500 EUR/an pentru mentenanță și actualizări. Firmele care prelucrează date sensibile sau la volum mare vor avea costuri mai ridicate. Sursa: GDPR Complet — 7 proceduri GDPR obligatorii în orice IMM

Drepturile persoanei vizate și exercitarea lor

Lista drepturilor

Capitolul III din GDPR consacră opt drepturi fundamentale ale persoanei vizate:

Drept Articol Descriere
Dreptul la informare Art. 13-14 Persoana vizată trebuie informată despre cine prelucrează datele, în ce scop și pe ce temei
Dreptul de acces Art. 15 Obținerea confirmării că datele sunt prelucrate și accesul la o copie a acestora
Dreptul la rectificare Art. 16 Corectarea datelor inexacte sau completarea celor incomplete
Dreptul la ștergere Art. 17 „Dreptul de a fi uitat" — ștergerea datelor în anumite condiții
Dreptul la restricționare Art. 18 Limitarea temporară a prelucrării
Dreptul la portabilitate Art. 20 Primirea datelor într-un format structurat și transferul către alt operator
Dreptul la opoziție Art. 21 Opoziția la prelucrare bazată pe interes legitim sau public
Dreptul privind deciziile automate Art. 22 Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrare automatizată

Procedura de exercitare în România

Cum trimite o persoană o cerere:

  • În scris (e-mail, poștă, formular online)
  • Trebuie să se identifice (dar operatorul nu poate cere mai multe date decât necesare pentru verificare)
  • Nu este obligatoriu un formular specific — cererea în formă liberă este validă

Ce trebuie să facă operatorul:

  1. Verifică identitatea solicitantului
  2. Răspunde în maxim 30 de zile de la primirea cererii (Art. 12 alin. 3)
  3. Poate prelungi termenul cu încă 60 de zile pentru cereri complexe sau multiple, dar trebuie să informeze persoana în primele 30 de zile
  4. Gratuit — serviciul este fără costuri; se pot percepe taxe rezonabile doar pentru cereri „vădit nefondate sau excesive" (de exemplu, cereri repetitive)

Art. 12 alin. (3) din Regulamentul (UE) 2016/679 — Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Sursa: Regulamentul (UE) 2016/679, Art. 12

Când poate operatorul să refuze

Operatorul poate refuza să acționeze în urma cererii dacă:

  • Nu poate identifica persoana vizată — și aceasta refuză să furnizeze informații suplimentare
  • Cererea este vădit nefondată sau excesivă — în special prin caracterul repetitiv
  • Există excepții legale — libertatea de exprimare, obligații legale, interes public, arhivare, cercetare științifică

În caz de refuz, operatorul trebuie să informeze persoana vizată în maxim 30 de zile despre motivele refuzului și despre dreptul de a depune plângere la ANSPDCP sau de a se adresa instanței.

Interacțiunea GDPR cu Legea 506/2004 (ePrivacy)

Cadrul legislativ pentru comunicații electronice

Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice transpune în dreptul român Directiva 2002/58/CE (Directiva ePrivacy).

Relația dintre cele două acte normative este de lex specialis — Legea 506/2004 detaliază și completează GDPR pentru domeniul specific al comunicațiilor electronice, fără a reduce nivelul de protecție oferit de GDPR.

Aspect GDPR Legea 506/2004 (ePrivacy)
Temei juridic Consimțământul este unul din cele 6 temeiuri posibile Consimțământul este obligatoriu pentru cookie-uri non-esențiale
Tipuri de date Toate datele cu caracter personal Doar datele transmise prin comunicații electronice
Excepții Variate (contract, obligație legală, interes legitim etc.) Doar pentru cookie-uri strict necesare funcționării tehnice

În practică pentru cookie-uri:

  • Cookie-urile strict necesare (funcționare tehnică, securitate, preferințe utilizator) — nu necesită consimțământ
  • Cookie-urile de analiză și marketing — necesită consimțământ explicit conform ambelor reglementări
  • Consimțământul trebuie să fie activ — căsuțele pre-bifate nu sunt valide (CJUE, Cauza C-673/17, Planet49)
  • Legea 506/2004 impune obligația de a reaminti utilizatorului dreptul de retragere la intervale de 6 luni

Art. 4 alin. (5) din Legea 506/2004 — Stocarea de informații sau obținerea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă numai cu condiția ca abonatul sau utilizatorul în cauză să își fi exprimat acordul, după ce a primit informații clare și complete. Sursa: Legea nr. 506/2004, Art. 4

Marketing electronic

Pentru comunicările comerciale nesolicitate (e-mail marketing, SMS), Legea 506/2004 stabilește reguli mai stricte:

  • Opt-in obligatoriu — comunicările de marketing electronic necesită acordul prealabil al destinatarului
  • Identificare clară — expeditorul trebuie identificat, nu se permit adrese false
  • Mecanism de dezabonare — fiecare mesaj trebuie să conțină o metodă simplă de retragere a consimțământului

Sursa: JURIDICE.ro — ePrivacy, lex specialis în raport cu GDPR

Interesul legitim ca temei juridic

Testul în trei etape

Interesul legitim (Art. 6 alin. 1 lit. f GDPR) este un temei juridic flexibil, dar care necesită o evaluare riguroasă prin testul în trei etape (Legitimate Interests Assessment — LIA):

1. Testul scopului (Purpose test)

  • Există un interes real și actual al operatorului sau al unui terț?
  • Interesul este suficient de clar articulat?
  • Interesul este legal (nu contravine legii)?

2. Testul necesității (Necessity test)

  • Prelucrarea este necesară pentru atingerea scopului?
  • Există alternative mai puțin intruzive care ar atinge același rezultat?

3. Testul de echilibru (Balancing test)

  • Drepturile și libertățile persoanei vizate sunt afectate grav?
  • Ce așteptări rezonabile are persoana vizată?
  • Care este natura datelor prelucrate (date sensibile = prag mai înalt)?
  • Ce măsuri de protecție pot fi implementate?

Exemplu practic: Un angajator dorește să păstreze date de contact ale persoanelor de urgență pentru angajați. Interesul este legitim (protecția angajaților), prelucrarea este necesară (nu există altă metodă), iar impactul asupra persoanelor nominalizate este minim (doar nume și telefon, folosite doar în urgență). Bilanțul este favorabil operatorului.

⚠️ Atenție: Interesul legitim nu poate fi invocat de autoritățile publice în exercitarea atribuțiilor lor. Pentru marketing direct, persoana vizată poate oricând să se opună, iar opoziția trebuie respectată fără justificare. Sursa: EDPB Guidelines 1/2024 on Legitimate Interests

Implicații penale ale încălcării GDPR

Când încălcarea GDPR devine infracțiune

GDPR în sine nu prevede sancțiuni penale — acestea rămân la latitudinea statelor membre. În România, anumite încălcări grave pot constitui infracțiuni conform Codului Penal:

Art. 227 — Divulgarea secretului profesional

Divulgarea, fără drept, a unor date sau informații privind viața privată a unei persoane, de natură să aducă un prejudiciu unei persoane, de către acela care a luat cunoștință despre acestea în virtutea profesiei ori funcției și care are obligația păstrării confidențialității, se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

Art. 226 — Violarea vieții private

Fotografierea, captarea sau înregistrarea de imagini, ascultarea cu mijloace tehnice sau înregistrarea audio a unei persoane aflate într-o locuință sau încăpere ori dependință ținând de aceasta, fără consimțământul persoanei, se pedepsește cu închisoare de la o lună la 6 luni sau cu amendă.

Condiții pentru răspunderea penală:

  • Fapta trebuie săvârșită cu intenție (nu doar neglijență)
  • Trebuie să existe un prejudiciu sau cel puțin aptitudinea de a produce prejudiciu
  • Persoana trebuie să fi avut obligația de confidențialitate

Răspunderea administratorilor și angajaților

  • Persoana juridică (firma) răspunde contravențional/administrativ pentru amenzile GDPR
  • Persoanele fizice (administratori, angajați) pot răspunde penal pentru fapte proprii
  • Angajații care divulgă date personale ale clienților fără drept pot fi trași la răspundere penal individual
  • Administratorii pot răspunde pentru lipsa măsurilor de securitate dacă aceasta constituie neglijență în serviciu

Sursa: LegalUp — Ce sancțiuni prevede legea pentru divulgarea datelor cu caracter personal

Monitorizarea angajaților la locul de muncă

GPS pe vehiculele de serviciu

ANSPDCP a clarificat că monitorizarea prin GPS este legală, dar numai în anumite condiții:

  1. Informare prealabilă — angajatul trebuie notificat în scris înainte de implementare
  2. Temei juridic valid — de regulă, interesul legitim (protecția bunurilor, optimizarea rutelor)
  3. Limitare la programul de lucru — GPS-ul trebuie dezactivat sau setat să nu înregistreze în afara orelor de muncă
  4. Stocare limitată — datele nu pot fi păstrate mai mult de 30 de zile fără justificare

⚠️ Sancțiuni recente: ANSPDCP a aplicat amenzi de 4.000-8.000 EUR pentru monitorizarea GPS a angajaților în afara programului de lucru sau în timpul concediului. Sursa: StartupCafe — GDPR România: amendă pentru date GPS

E-mail și comunicații profesionale

Monitorizarea e-mailurilor profesionale trebuie să respecte:

  • Transparență — angajatul trebuie informat despre existența și scopul monitorizării
  • Proporționalitate — monitorizarea trebuie limitată la scopul declarat (nu acces total la toate comunicările)
  • Separare — dacă se permite folosirea în scop personal, accesul angajatorului la aceste comunicări este mult mai restricționat

Jurisprudența CEDO (Bărbulescu c. România, 2017) stabilește că angajatorii trebuie să evalueze dacă există alternative mai puțin intruzive și să respecte viața privată a angajatului chiar și la locul de muncă.

Principiul minimizării pentru IoT și aplicații mobile

Provocări specifice

Dispozitivele IoT și aplicațiile mobile colectează adesea date în mod continuu — locație GPS, date de sănătate, interacțiuni, obiceiuri de utilizare. Principiul minimizării (Art. 5 alin. 1 lit. c) impune limitarea acestei colectări.

Măsuri tehnice recomandate

  1. Privacy by Design — integrarea protecției datelor încă din faza de proiectare
  2. Setări implicite restrictive — colectarea minimă în mod implicit, cu opțiuni opt-in pentru funcții suplimentare
  3. Anonimizare și pseudonimizare — unde este posibil, procesarea datelor fără identificarea persoanei
  4. Stocare locală — păstrarea datelor pe dispozitiv în loc de transmitere în cloud când nu e necesar
  5. Perioade de retenție reduse — ștergerea automată a datelor vechi
  6. Granularitate în permisiuni — cererea doar a permisiunilor strict necesare (de ex., locație doar când aplicația e folosită, nu permanent)

Art. 25 din Regulamentul (UE) 2016/679 — Ținând seama de stadiul actual al tehnologiei, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării în sine, măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor. Sursa: Regulamentul (UE) 2016/679, Art. 25

Jurisprudență CJUE recentă (2025-2026)

Cauza Curtea de Apel Cluj — Platforme online (2 decembrie 2025)

CJUE (Marea Cameră) a hotărât că operatorul unei platforme de anunțuri online este operator de date în sensul GDPR și poate fi operator asociat împreună cu utilizatorul care postează anunțul. Platforma are obligația:

  • Să identifice anunțurile care conțin date sensibile înainte de publicare
  • Să verifice dacă există consimțământul explicit al persoanei vizate
  • Să refuze publicarea în lipsa unui temei juridic valid

Această hotărâre extinde semnificativ obligațiile platformelor online de a filtra conținutul ex ante pentru protecția datelor.

Sursa: JURIDICE.ro — CJUE impune filtre ex ante pentru anunțuri cu date sensibile

Accesul la beneficiarii reali (2022-2025)

Ca urmare a deciziei CJUE din 2022, România a modificat legislația privind accesul la datele beneficiarilor reali ai companiilor. Din mai 2025, accesul nu mai este public — solicitanții trebuie să demonstreze un interes legitim pentru a obține aceste date.

Sursa: Avocatnet.ro — Accesul la datele beneficiarilor reali, limitat

Referințe

  1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (GDPR)
  2. Regulamentul (UE) 2016/679 — text integral EUR-Lex
  3. Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR
  4. Legea nr. 506/2004 privind protecția vieții private în comunicații electronice
  5. ANSPDCP — Întrebări și răspunsuri privind GDPR
  6. ANSPDCP — Responsabilul cu protecția datelor
  7. Cele 7 principii GDPR — GDPR Complet, 10 noiembrie 2022
  8. 7 proceduri GDPR obligatorii în orice IMM din România — GDPR Complet
  9. GDPR - drepturile persoanei vizate — GDPR Complet
  10. Capitolul III – Drepturile persoanei vizate — Data Protection Romania
  11. ePrivacy, lex specialis în raport cu GDPR — JURIDICE.ro
  12. EDPB Guidelines 1/2024 on Legitimate Interests
  13. Ce Înseamnă GDPR – Pe Înțelesul Tuturor — Stegaroiu și Asociații, 14 iunie 2020
  14. Principii legate de prelucrarea datelor cu caracter personal — Data Protection Romania, 25 iulie 2018
  15. ANSPDCP: Monitorizarea salariaților prin GPS — Avocatnet.ro
  16. Ce sancțiuni prevede legea pentru divulgarea datelor — LegalUp
  17. CJUE impune filtre ex ante pentru anunțuri cu date sensibile — JURIDICE.ro
  18. Accesul la datele beneficiarilor reali, limitat — Avocatnet.ro